Overføring av forskningsdata til andre virksomheter i Norge | FoU-håndbok - Ansatt

Overføring av personopplysninger mellom behandlingsansvarlige

Overføring av personopplysninger mellom behandlingsansvarlige

Ved overføring av data til andre virksomheter/institusjoner som er selvstendig behandlingsansvarlige er det flere sentrale forhold som bør kontrolleres. Her er en sjekkliste:
Publisert
Sist oppdatert

  • Før overføring

    • Undersøk om dataoverføringen faktisk vil innebære overføring av personopplysninger. Hvis ja; kartlegg formål, type opplysninger og kategorier av registrerte som overføringen angår.
    • Forsikre deg om  at OsloMet har et relevant lovlig grunnlag (behandlingsgrunnlag) for overføringen av personopplysningene, for eksempel samtykke fra de registrerte eller en lovhjemmel.
    • Beskriv overføringen og dokumenter behandlingsgrunnlaget i OsloMets oversikt over behandlingsaktiviteter i Ardoq. Oversikt over behandling av personopplysninger. 
    • Hvis overføringen er basert på samtykke: Sikre at samtykket omfatter formålet med behandlingen, herunder overføringen, hvilke typer opplysninger overføringen gjelder, informasjon om identiteten til mottakeren av opplysningene, samt om lokasjon og lovlig grunnlag for overføringen ved overføring til lokasjon utenfor EU/EØS, informasjon om at samtykket når som helst kan trekkes tilbake, samt informasjon om eventuelle automatiserte beslutninger som treffes på grunnlag av behandlingen. Hvis overføringen omfatter helseopplysninger må det påses at samtykket uttrykkelig omfatter behandling (herunder overføring) av helseopplysninger.
    • Det anbefales å inngå en dataoverføringsavtale for å regulere overføringen av personopplysningene. Gjennom denne avtalen er mottaker forpliktet til å etterleve personvernforordningen.
    • Påse at informasjons- og innsynskravene overfor de registrerte i henhold til personvernforordningen art. 13-15 (lovdata.no) er oppfylt, herunder informasjon om identitet og lokasjon til relevante mottakere av personopplysningene. 
    • Sjekk om overføringen vil innebære at personopplysninger enten vil bli overført til, eller vil kunne aksesseres fra lokasjon utenfor EU/EØS («tredjeland»).
    • Hvis svaret er ja; påse at det foreligger et relevant lovlig grunnlag for overføring til tredjeland (f.eks. at mottakerlandet anses som "godkjent" tredjeland av EU-kommisjonen, mottaker er EU-US Privacy Shield-sertifisert (USA), eller at virksomhetene inngår EUs standardkontrakt, EUs Model Clauses for Controllers). Sørg for at EUs  standardkontrakt inngås før overføring finner sted, hvis ingen andre overføringsgrunnlag foreligger og slik avtale ikke allerede er inngått.  Les mer om overføring av personopplysninger til tredjeland.

  • Etter overføring

    • Sørg for å underrette den enkelte mottaker av personopplysninger dersom OsloMet mottar krav fra en registrert om retting, sletting eller begrensning av behandlingen av den registrertes personopplysninger. 
    • Sørg for løpende oppfølging av inngåtte overføringsavtaler / prosjekter hvor det rutinemessig skjer slik overføring.

  • Relaterte ressurser